6月13日,美国防部采购助理国防部长的网络工作特别助理凯蒂.阿灵顿(Katie Arrington)在当日的“专业服务委员会-联邦采购会议(Professional Services Council Federal Acquisition Conference)”上指出,美国防部已认识到网络安全是“一项可接受的成本”,因此美国防部正在考虑在未来采购合约中将网络安全作为一项必要的需求。
目前美国联邦政府的采购流程主要关注“成本”、“性能”和“日程”这三个关键因素,但外界普遍认为这个工作方法可能存在重大安全风险。例如管理美国政府国家实验室的MITRE公司今年发布的一份报告就建议美国防部要重点关注外购系统的网络安全措施。MITRE公司的报告还认为,美国防部通过其7000亿美元预算而产生的经济影响力,将可以令数以千计的承包商在网络安全方面做出必要的改变。
阿灵顿指出,美国防部当前的采购体制就相当于“买了一辆高档轿车,而后安装高科技的安全系统,围绕它安装了一圈栅栏,然而车门没有锁闭,钥匙也遗忘在车内”,因此她认为美国政府和私营行业必须严肃地考虑网络安全措施。此外,由于承包商在开展美国防部项目时会接触到后者的敏感数据,因此阿灵顿强调美国防部和承包商需要在安全事务上进行更全面的合作。
阿灵顿透露,目前美国防部正在与约翰霍普金斯大学和卡内基梅隆大学合作,开发“网络安全成熟度模型认证(Cybersecurity Maturity Model Certification)”,这个强制性的标准将引入第三方网络安全认证机构,对承包商“开展审计、收集指标、为其整个供应链提出风险处置措施”,美国防部未来的合约也将包含要求履约厂商进行认证的强制要求。这个新标准也将不再允许承包商自我评估。
国家情报总监办公室负责供应链与网络办公室的助理总监(Assistant director of supply chain and cyber directorate at the Officeof the Director of National Intelligence)乔斯.克利尔(Joyce Corell)在同一个会议上也表示,美国政府机构的网络安全建设工作重点,需要从合规列表转变为对安全的全面评估过程。
https://www.fifthdomain.com/dod/2019/06/13/the-new-way-security-factors-into-acquisitions/
声明:本文来自国际安全简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
